Guía de configuración de PCI para Apigee

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Para que un cliente cumpla con las normas de la industria de las tarjetas de pago (PCI) en Apigee, existen algunas acciones y procesos que pertenecen al “Modelo de responsabilidad compartida”. Los clientes que desean cumplir con la PCI deben revisar los siguientes elementos. Estos elementos son de tipo autoservicio en Apigee y deben dirigirse a la organización del cliente (org) para cumplir con los requisitos de PCI. El concepto general es “Google protege la plataforma, el cliente protege sus datos”.

Asignación de requisitos de PCI

En la siguiente tabla, se muestran los requisitos de PCI y su documentación relacionada de Apigee. Para obtener más información sobre los requisitos, consulta la Guía de referencia rápida de PCI DSS v3.2.1.

Requisito de PCI Sección
Requisito 3: Proteger los datos almacenados del titular de la tarjeta Enmascaramiento de datos
Requisito 3: Proteger los datos almacenados del titular de la tarjeta Almacenamiento de datos
Requisito 4: Encriptar los datos de titulares de tarjetas a través de las redes públicas abiertas y públicas Configuración de TLS
Requisito 4: Encriptar los datos de titulares de tarjetas a través de las redes públicas abiertas y públicas Encriptación de datos
Requisito 7: Restringir el acceso a los datos del titular de la tarjeta por parte de la empresa Uso/autorizaciones
Requisito 8: Asignar un ID único a cada persona con acceso a la computadora Requisitos de contraseña compleja o SAML
Requisito 10: Realizar un seguimiento y supervisar todo el acceso a los recursos de red y los datos del titular de la tarjeta Registro de auditoría
Requisito 11: Probar periódicamente los sistemas y procesos de seguridad Análisis de extremos

Para obtener una Certificación de cumplimiento (AOC) estándar de la seguridad de los datos de PCI, visita Administrador de informes de cumplimiento de Google o comunícate con el equipo de ventas de Apigee.

Sesiones de depuración

Sesiones de depuración es una herramienta de solución de problemas que permite al usuario ver el estado y el contenido de una llamada a la API mientras se procesa en la plataforma de Apigee.

Durante una sesión de depuración, se aplica el enmascaramiento de datos. El enmascaramiento de datos puede bloquear la visualización de los datos durante una sesión de depuración. Consulta la sección Enmascaramiento de datos a continuación.

Las instrucciones detalladas sobre el uso de la depuración están disponibles en Usa la depuración.

Uso/autorizaciones

El acceso a la sesión de depuración se administra a través del sistema RBAC (control de acceso basado en roles) de Cloud IAM (Identity & Access Management). Las instrucciones detalladas sobre el uso del sistema de RBAC para otorgar y revocar privilegios de la sesión de depuración están disponibles en Roles de Apigee y en Administra usuarios en la IU de Apigee. Los permisos de la sesión de depuración permiten al usuario iniciar una sesión de depuración y acceder a su resultado.

Dado que la sesión de depuración tiene acceso a la carga útil de las llamadas a la API (denominada anteriormente “Cuerpo del mensaje”), es importante considerar quién tiene acceso para ejecutar una sesión de depuración. Debido a que la administración de usuarios es una responsabilidad del cliente, la asignación de permisos de la sesión de depuración también es una responsabilidad del cliente.

Enmascaramiento de datos

El enmascaramiento de datos evita que se muestren datos sensibles durante una sesión de depuración, tanto en la herramienta de depuración (IU de Apigee) como en el backend de depuración (API de Apigee). Los detalles sobre cómo configurar el enmascaramiento están disponibles en Enmascaramiento y ocultamiento de datos. El enmascaramiento de datos sensibles es parte del Requisito 3 de PCI: Protege los datos almacenados del titular de la tarjeta.

El enmascaramiento de datos NO evita que los datos sean visibles en lugares como archivos de registro, caché y estadísticas. Por lo general, los datos sensibles no se deben escribir en caché ni en estadísticas sin una justificación comercial sólida y una revisión por parte de los equipos de seguridad y jurídico del cliente.

Almacenamiento en caché

El almacenamiento en caché está disponible para todos los clientes. Para obtener más información, consulta Objetos internos de la caché.

Registro de auditoría

Los clientes tienen la capacidad de revisar el registro de auditoría de todas las actividades administrativas que se realizan dentro de la organización del cliente, incluido el uso de la depuración. Para obtener instrucciones detalladas, consulta Registros de auditoría y Usa la depuración. Requisito 10 de PCI: Realizar un seguimiento y supervisar todo el acceso a los recursos de red y los datos del titular de la tarjeta).

Requisitos de contraseña compleja o SAML

Para los clientes de PCI, las contraseñas de usuario se configuran a fin de cumplir con la mayoría de los requisitos que exige PCI DSS. Cloud Identity también ofrece autenticación de varios factores (Requisito 8 de PCI: Asigna un ID único a cada persona con acceso a la computadora). SAML, como se describe en la Descripción general de SAML, se puede usar como alternativa para los controles de autenticación.

Nota: Se recomienda que los clientes que tengan requisitos de contraseña específicos usen SAML para cumplir con sus requisitos individuales.

Seguridad de extremos

Análisis de extremos

El análisis y las pruebas de hosts son necesarios para el cumplimiento de PCI (Requisito 11: Prueba de forma periódica los sistemas y procesos de seguridad). En Apigee, los clientes son responsables del análisis y las pruebas de sus extremos de la API (a veces denominados “componentes del entorno de ejecución”) en Apigee. Las pruebas de clientes deben abarcar los servicios de proxy de API reales alojados en Apigee, en los que el tráfico de la API se envía a Apigee antes de procesarse y, luego, entregarse al centro de datos del cliente. Las pruebas de recursos compartidos, como la IU del portal de administración, no están aprobadas para clientes individuales (un informe de terceros que abarca las pruebas de los servicios compartidos está disponible para los clientes en virtud de un acuerdo de confidencialidad y cuando se lo solicite).

Los clientes deben probar sus extremos de API y se recomienda que lo hagan. Tu acuerdo con Apigee no prohíbe las pruebas de los extremos de la API, pero no te permitimos probar la IU de administración compartida. Agradeceremos que notifiques a Apigee con anticipación para que podamos estar al tanto del tráfico de prueba.

Los clientes que prueban sus extremos deben buscar cualquier problema específico de la API, cualquier problema relacionado con los servicios de Apigee y, también, verificar la TLS y otros elementos configurables. Cualquier elemento que se encuentre relacionado con los servicios de Apigee debe comunicarse a Apigee a través de una solicitud de asistencia.

La mayoría de los elementos relacionados con el extremo son elementos de autoservicio del cliente y se pueden corregir con una revisión de la documentación de Apigee. Si no tiene claro cómo solucionar ciertos elementos, abra una solicitud de asistencia.

Configuración de TLS

Según los estándares de PCI, SSL y las primeras versiones de TLS deben migrarse a versiones seguras. Los clientes son responsables de definir y configurar sus propios extremos de TLS para proxies de API. Esta es una función de autoservicio en Apigee. Los requisitos del cliente en cuanto a las selecciones de encriptación, protocolo y algoritmo son muy variables y específicos de cada casos de uso. Debido a que Apigee no conoce los detalles del diseño de API de cada cliente y las cargas útiles de datos, los clientes tienen la responsabilidad de determinar la encriptación adecuada para los datos en tránsito. Las instrucciones detalladas sobre la configuración de TLS están disponibles en TLS/SSL.

Almacenamiento de datos

No es necesario almacenar los datos dentro de Apigee para que funcione de forma correcta. Sin embargo, hay servicios disponibles para el almacenamiento de datos en Apigee. Los clientes pueden elegir usar caché, mapas de clave-valor o estadísticas para el almacenamiento de datos. Las estadísticas no están autorizadas para el almacenamiento de datos del titular de la tarjeta (CHD) según la auditoría de PCI de Apigee. Según el Requisito 3 de PCI (Proteger los datos almacenados del titular de la tarjeta), los datos de PCI deben almacenarse solo en ubicaciones que cumplan con las PCI. El uso de estos servicios está disponible para los clientes a fin de almacenar datos que no sean de PCI u otros datos no restringidos sujetos a los requisitos legales y de seguridad del cliente. Estos servicios son elementos de autoservicio para los clientes, por lo que es responsabilidad del cliente configurarlos para no capturar ni almacenar los CHD. Se recomienda que los administradores del cliente revisen las configuraciones, las políticas y las implementaciones para evitar el uso accidental o malicioso de los servicios de almacenamiento de datos en Apigee, lo que infringe las normas.

Encriptación de datos

Las herramientas de encriptación de datos no se ofrecen a los clientes para su uso dentro de Apigee. Sin embargo, los clientes son libres de encriptar sus datos de PCI antes de enviarlos a Apigee. El Requisito 4 de PCI (encriptar la transmisión de datos del titular de la tarjeta a través de redes públicas abiertas) recomienda encriptar los datos del titular de la tarjeta en redes públicas abiertas. Los datos encriptados en la carga útil (o el cuerpo del mensaje) no evitan que Apigee funcione. Es posible que algunas políticas de Apigee no puedan interactuar con los datos si el cliente los recibe encriptados. Por ejemplo, no es posible realizar una transformación si los datos no están disponibles para que Apigee los cambie. Sin embargo, otras políticas y paquetes creados por el cliente funcionarán incluso si la carga útil de los datos está encriptada.

Captura de datos

Los clientes pueden usar la política de captura de datos para enviar atributos personalizados a la plataforma de estadísticas de Apigee. Apigee recomienda no usar la captura de datos para almacenar información del titular de la tarjeta.

Exposición de información mediante strings de consulta en URL

Apigee recomienda usar diseños de API que eviten datos sensibles (incluida, entre otras, la información del titular de la tarjeta) mediante strings de consulta en URL.